С 1 сентября 2022 года законодательство о персональных данных в России претерпело революционные изменения в части реагирования на инциденты. Теперь операторы не имеют права замалчивать проблемы. Главная обязанность, за нарушение которой грозят огромные штрафы, — это своевременное уведомление регулятора. Тема «Сообщение об утечке в Роскомнадзор сроки» является одной из самых горячих, так как закон дает компании экстремально мало времени на реакцию — всего 24 часа. Опоздание даже на час уже считается нарушением.

Статья 21 Федерального закона № 152-ФЗ «О персональных данных» (часть 3.1) четко регламентирует таймлайн действий оператора при выявлении неправомерного или случайного доступа к данным. Законодатель разделил процесс уведомления на два этапа: первичное сообщение (в течение 24 часов) и результаты внутреннего расследования (в течение 72 часов). Этот жесткий регламент направлен на то, чтобы государство оперативно получало информацию об угрозах гражданам.

24 часа: Первичное уведомление

Отсчет времени начинается с момента *выявления* инцидента оператором. Это может быть момент срабатывания DLP-системы, получение письма от хакеров или звонок от клиента, нашедшего свои данные в сети.
В течение суток вы обязаны направить в РКН уведомление, содержащее:

  • Описание произошедшего инцидента (что случилось).
  • Предполагаемые причины (взлом, инсайд, сбой).
  • Предполагаемый вред правам субъектов ПДн.
  • Принятые меры по устранению последствий.
  • Сведения об уполномоченном лице (контакт для связи).

Важно: на этом этапе не нужно знать всё. Главное — заявить о факте. Подать уведомление можно через специальную форму на сайте Роскомнадзора или через Госуслуги.

72 часа: Результаты расследования

Второй дедлайн наступает через трое суток с момента выявления (не с момента подачи первого уведомления!).
К этому времени компания должна провести внутреннее расследование и сообщить:

  1. Точные причины инцидента (технический анализ вектора атаки).
  2. Сведения о лицах, действия которых стали причиной нарушения (виновные).
  3. Итоговые меры по минимизации ущерба.

Если расследование затягивается, закон не предусматривает продления сроков. Неподача второго уведомления — это тоже нарушение.

Стратегия соблюдения сроков

Как успеть все сделать и не ошибиться?

  • Заранее подготовленные шаблоны. В компании должен быть утвержден регламент реагирования, где уже лежат черновики уведомлений. В момент кризиса некогда формулировать юридические фразы.
  • Круглосуточный канал связи. Если утечка произошла в пятницу вечером, срок истекает в субботу вечером. Роскомнадзор принимает уведомления 24/7. Выходных для сроков не существует.
  • Осторожность в формулировках. В первичном уведомлении лучше использовать слова «предполагается», «возможно», чтобы не связать себя признанием вины, если позже выяснится, что утечки не было или она была меньше.

Ответственность за нарушение сроков

Неподача или несвоевременная подача уведомления влечет административную ответственность по ст. 19.7 КоАП РФ (непредоставление сведений) или, что хуже, может рассматриваться как отягчающее обстоятельство при назначении штрафа за саму утечку (ст. 13.11 КоАП). В условиях введения оборотных штрафов, сотрудничество с регулятором и соблюдение тайминга — единственный способ снизить финансовый удар по компании.

Мы помогаем клиентам в режиме «горячей линии»: готовим и подаем уведомления, консультируем IT-команду по формулировкам причин инцидента и сопровождаем процесс расследования.

VFS Consulting Юридические решения нового поколения
Сообщение об утечке в Роскомнадзор: сроки и порядок подачи
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    Получить консультацию

    Кейсы из практики

    cs

    Корректировка ошибочно поданного уведомления

    IT-директор клиента в панике отправил в РКН уведомление, где ошибочно признал вину компании в отсутствии средств защиты, хотя взлом произошел через 0-day уязвимость. Мы оперативно подготовили дополнение к уведомлению с результатами технической экспертизы и юридическим обоснованием отсутствия вины оператора (принятие всех зависящих мер). Это позволило переквалифицировать ситуацию и избежать максимального штрафа за халатность.

    Результат

    Позиция регулятора смягчена, компания доказала добросовестность, штраф минимален.

    Часто задаваемые вопросы

    Ответы на вопросы о тайминге реагирования на инциденты.

    С какого момента отсчитываются 24 часа?
    Срок исчисляется с момента выявления инцидента оператором. Это момент, когда уполномоченный сотрудник (DPO, безопасник) узнал о факте нарушения. Важно зафиксировать это время актом, чтобы у регулятора не возникло вопросов.
    Нужно ли уведомлять, если утечка незначительная?
    Закон не устанавливает минимального порога объема данных для уведомления. Формально, утечка данных даже одного клиента требует уведомления. Однако на практике регулятор фокусируется на массовых инцидентах. Риск неуведомления о мелком инциденте каждый бизнес оценивает сам.
    Можно ли подать уведомление в бумажном виде?
    Теоретически можно, но практически невозможно уложиться в 24 часа. Приоритетным способом является подача через электронную форму на сайте Роскомнадзора с использованием УКЭП, это фиксирует время подачи с точностью до секунды.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности